webshell 流量分析

php代码部分没啥看的，主要在标黄的部分，裁剪掉前面的字符可base解码

能看到在向a.txt中写入数据

wp

#  tshark.exe -r 'chrchrchr.pcapng' -T fields -e urlencoded-form.value -Y "urlencoded-form.key==zd2ebbfb26dd" > 2.txtf=open('2.txt','r',encoding='utf16').readlines()
# print(f)
import re,base64
for each in f:ret=re.findall(';,(.*?)\n',each)# print(base64.b64decode(ret[0][6:]))# if ret:ret2=re.findall('o (.*?) >>',base64.b64decode(ret[0][6:]).decode())print(ret2[0],end='')# 1 base32-->2 base64
# DASCTF{2e1d7bb05d769c2cd10157a66447a0dd}

tips：标黄的部分即为tshark   -Y的过滤参数，不知道各种属性怎么点出来可以来这找。